Databeskyttelsesloven

Databeskyttelsesloven er den danske lov, der supplerer GDPR med nationale regler for behandling af personoplysninger. Den regulerer bl.a. behandling af CPR-numre, samtykkealdergrænser og strafferetlige oplysninger, som GDPR overlader til medlemslandene.

Tilbage til ordbog

Indholdsfortegnelse

    Hvad er databeskyttelsesloven?

    Databeskyttelsesloven (lov nr. 502 af 23. maj 2018) er den danske lov, der supplerer GDPR. Den trådte i kraft den 25. maj 2018, samtidig med at GDPR begyndte at gælde, og erstattede den tidligere persondatalov fra 2000.

    GDPR er en EU-forordning, der gælder direkte i alle medlemslande. Men forordningen giver på en række områder medlemslandene mulighed for at fastsætte nationale regler. Det er disse nationale regler, databeskyttelsesloven indeholder.

    Som dataansvarlig i Danmark skal du overholde både GDPR og databeskyttelsesloven. De to regelsæt læses i sammenhæng, og Datatilsynet fører tilsyn med begge.

    Centrale bestemmelser

    Databeskyttelsesloven indeholder flere vigtige nationale bestemmelser:

    • CPR-numre (§ 11): Offentlige myndigheder kan behandle CPR-numre, når det er sagligt begrundet. Private virksomheder kan behandle dem, når det følger af lov, den registrerede har givet samtykke, eller det er nødvendigt for entydig identifikation.
    • Samtykkealdergrænse (§ 6, stk. 2): Børn skal være mindst 13 år for at give gyldigt samtykke til informationssamfundstjenester. For børn under 13 kræves forældresamtykke.
    • Strafferetlige oplysninger (§ 8): Behandling af oplysninger om strafbare forhold og straffedomme er reguleret nationalt.
    • Ansættelsesforhold (§ 12): Særlige regler for behandling af personoplysninger i ansættelsesforhold.
    • Forsknings- og statistikformål (§§ 10, 14): Regler for behandling af persondata til videnskabelige og statistiske formål.

    Loven fastslår også, at Datatilsynet er den uafhængige tilsynsmyndighed for databeskyttelse i Danmark.

    Forholdet mellem GDPR og databeskyttelsesloven

    GDPR og databeskyttelsesloven er ikke alternativer. Du skal overholde begge. GDPR indeholder de overordnede principper for behandling af persondata, herunder kravene til behandlingsgrundlag, registreredes rettigheder og databehandleraftaler.

    Databeskyttelsesloven fylder hullerne ud på de områder, hvor GDPR giver valgfrihed. Det gælder fx:

    • Aldergrænsen for børns samtykke (GDPR tillader 13-16 år, Danmark valgte 13)
    • Regler for CPR-numre (en dansk specialitet uden pendant i GDPR)
    • Undtagelser for behandling til journalistiske, kunstneriske og litterære formål
    • Sanktioner og straffebestemmelser (§§ 41-42)

    I praksis betyder det, at du altid starter med GDPR og derefter tjekker, om databeskyttelsesloven stiller yderligere krav.

    Databeskyttelsesloven i praksis

    For de fleste danske virksomheder har databeskyttelsesloven størst praktisk betydning i forhold til CPR-numre og ansættelsesforhold.

    Hvis du behandler CPR-numre, skal du sikre dig et specifikt grundlag. Du kan ikke blot henvise til dit GDPR-behandlingsgrundlag. CPR-numre kræver selvstændig hjemmel i databeskyttelsesloven § 11.

    Din fortegnelse over behandlingsaktiviteter bør afspejle, hvilke behandlinger der er reguleret af databeskyttelsesloven ud over GDPR. Det giver dig et bedre overblik og gør det lettere at demonstrere compliance ved tilsyn.

    Din privatlivspolitik skal henvise til både GDPR og databeskyttelsesloven, når du behandler data med hjemmel i den nationale lov. Oplysningspligten kræver, at du er specifik om retsgrundlaget.

    Ofte stillede spørgsmål om databeskyttelsesloven

    Hvad er forskellen på databeskyttelsesloven og GDPR?

    GDPR er en EU-forordning, der gælder direkte i alle medlemslande. Databeskyttelsesloven er den danske lov, der supplerer GDPR på de områder, hvor forordningen giver medlemslandene mulighed for nationale regler, fx samtykkealdergrænser, behandling af CPR-numre og strafferetlige oplysninger.

    Hvornår trådte databeskyttelsesloven i kraft?

    Databeskyttelsesloven trådte i kraft den 25. maj 2018, samtidig med at GDPR begyndte at gælde. Den erstattede den tidligere persondatalov fra 2000.

    Hvad siger databeskyttelsesloven om CPR-numre?

    Databeskyttelsesloven indeholder særlige regler for behandling af CPR-numre i § 11. Offentlige myndigheder kan behandle CPR-numre, når det er sagligt begrundet. Private virksomheder kan behandle dem, når det følger af lov, den registrerede har givet samtykke, eller behandlingen er nødvendig for entydig identifikation.

    Hvad er samtykkealdergrænsen i Danmark?

    I Danmark er samtykkealdergrænsen for informationssamfundstjenester 13 år, jf. databeskyttelsesloven § 6, stk. 2. Det betyder, at børn under 13 år kræver forældresamtykke for tjenester som sociale medier.

    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl